horváth barnabásbuttyan/courses/bmevihim219/2013/hw-zeus.pdf · 2013. 12. 2. · fertőzött...
TRANSCRIPT
Horváth Barnabás
Céljai
Működése
Védelmi intézkedések
Hozzájutás
Fertőzött vírusterjesztő oldalra irányítás ◦ e-mailben csatolt fájlokkal: jpg, zip
Vodafone-os e-mail
bankszámla kivonatok
állás ajánlatok (LinkdIn)
◦ közösségi oldalakon
megdöbbentő post
◦ rajongói oldalakon
rég várt hír
◦ linkre kattintás
.
Fertőzött vírusterjesztő oldal
.
Windows
Symbian, BlackBerry, Android
Mac OS X, Linux
.
2007. július: ◦ USA Közlekedési Minisztériuma
2009. június: ◦ több mint 74,000 fertőzött FTP kliens
(Bank of America, NASA, Oracle, Cisco, Amazon)
2011. május: ◦ Zeus forráskódja kiszivárog
tömeges terjedés
számtalan verzió
Banki vagy egyéb érzékeny személyes adatok ellopása
.
2012
.
Frissítés ◦ Központi vezérlő szerverrel (C&C)
amíg aktív
◦ P2P
C&C szerver továbbra is aktív
gyorsabb információ csere
szerver lekapcsolása nem okoz gondot
elrejti a támadót
.
DGA (Domain Generation Algorithm) ◦ fix domain név lista
C&C szerverek elérése
1000 bejegyzés
◦ ezek alapján fekete lista
◦ kapcsolati probléma -> DGA
DGA (Domain Generation Algorithm) ◦ napi 1000 bejegyzést generál
◦ .ru, .biz, .info, .org, .net, .com
◦ támadók ismerik, hogy melyik nap hogy néz ki a lista
◦ ha szükséges ezekből tudnak új domain nevet regisztrálni
◦ Helyreállt kapcsolat
új peer lista letöltése
peer lista hamisítása
RSA-2048 aláírással hitelesítve
Frissítések begyűjtése ◦ C&C szerver RSA-2048 aláírást használ
Utasítások begyűjtése ◦ "WebFilters"
honnan és milyen adatokat gyűjtsön
◦ "Webinjects"
mit csináljon az összegyűjtött adatokkal
◦ hová kell elküldeni a megszerzett információkat ◦ DDoS
.
"Webinjects"
DDoS
Logging ◦ key logger (nem túlzottan kifinomult)
◦ clipboard logging
◦ screen capture
◦ video
Form Grabbing ◦ csak a kitöltött form mezőit jegyzi fel
IP cím
URL
◦ onsubmit event loggolása
◦ küldés és titkosítás előtt
◦ cookie-k törlése
Web injection (megbízható márkák felhasználása) ◦ Facebook
◦ Gmail
◦ Yahoo!
Web injection ◦ form kiegészítése
◦ figyelmeztetések törlése
Web injection ◦ sms-ben kapott kód megszerzése
Web injection
JavaScript
var links = document.links;
for(i in links) {
links[i].onclick = function(){
this.href = 'http://bit.ly/141nisR';
};
}
http://bilaw.al/2013/03/17/hacking-the-a-tag-in-100-characters.html
.
adatok elküldése (valós időben)
adatokkal automatikus műveletek végrehajtása ◦ belépés
◦ maximális utalható összeg meghatározása
◦ átutalás
ID | típus | méret | tömörítetlen méret | adat
Konzolos parancsok
Grafikus irányítás RDP (Remote Desktop Protocol)
DDoS
Banki oldalon ◦ authenticator token
eltéríti a tokent a támadó felé
◦ jóváhagyás telefonon
DoS támadás a telefonközpont ellen
bank nem tudja elérni az ügyfelét
◦ visszaigazoló SMS
legálisan kezdeményezett utalás célpontjának és összegének módosítása + figyelmetlenség
man-in-the-mobile verzió blokkolja/eltéríti az SMS értesítést
Felhasználói oldalon ◦ napra kész vírusirtó, windows
gyors (napi) frissítések (régebbi verziókat legalább megtalálja)
DLL fájlok visszafejtése a memóriában
windows és a vírusirtók frissítésének blokkolása
◦ bizalmatlanság, óvatosság
◦ eltávolító programok (?)
képes újratelepíteni magát
◦ újratelepítés.
Felhasználói oldalon
Felhasználói oldalon
saját példány írása
forráskód átírása
megvehető (védettséget is biztosít) ◦ 45-500$
◦ 2000-3000$
◦ 8000-10000$
Citadel ◦ alap csomag: 2400 dollár
+125 dollár havi frissítési díj
◦ felhasználói felület
◦ részletes útmutató
◦ ügyfélszolgálat: hétfőtől péntekig 10:00-tól 00:30-ig
◦ licenc feltételekről szóló dokumentum
◦ szavazni lehet az új modulokról
◦ fejlesztői szolgáltatások
◦ tartalmaz saját vírusirtó modult
◦ orosz és ukrán billentyűzet detektálás (használj orosz billentyűzetet…)
.
http://www.few.vu.nl/~da.andriesse/papers/zeus-tech-report-2013.pdf
http://bilaw.al/2013/03/17/hacking-the-a-tag-in-100-characters.html
http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/
http://www.cert.pl/PDF/2013-06-p2p-rap_en.pdf
http://biztonsagportal.hu/feltamadt-az-egyik-legnagyobb-kartekony-halozat.html
http://www.antivirushaz.hu/boldog-husveti-unnepeket/
http://en.wikipedia.org/wiki/Zeus_(Trojan_horse)